以安全方式將Android裝置接入企業Wi-Fi

 　　相較於使用個人或者預先共用的密鑰(即PSK)模式，以安全方式接入企業環境下的無線網路或者Wi-Fi 802.1X模式的具體實施方式顯得有所不同。儘管利用個人膝上型電腦接入商業網路早已不是什麼技術難題，但Android裝置的快速普及還是帶來了一系列我們可能前所未見的額外設定選項。

　　在今天的文章中，我們將審視這些設定的作用，並瞭解在將Android裝置接入企業Wi-Fi環境時需要注意哪些因素：

　　下載並安裝全部必要數位憑證檔案

　　首先，我們需要擷取全部必要的數位憑證檔案。舉例來說，如果大家使用802.1X的EAP-TLS模式，則從網路系統管理員處申請相關檔案。此外，我們還需要下載其它各類認證，例如CA認證，從而保證該裝置能夠順利通過伺服器驗證。

　　在Android系統的各較新版本當中，認證匯入流程會在檔案下載完成之後自動進行。大家只需要為該認證輸入一個名稱並選擇該認證所使用的Wi-Fi存取點即可。如果各位的裝置尚未開啟鎖屏安全機制，系統可能會以提醒的方式通知各位將其啟用。

　　▲Android環境下數位憑證下載完成之後的安裝螢幕

　　在其它早期Android版本當中，大家可能需要通過訪問“安全”或者“位置&安全”設定並選擇“由SD卡進行安裝”對認證匯入進行初始化。如果尚未設定，系統將提醒大家為憑證存放區建立一條密碼。

　　接入商業網路環境

　　與其它任意Wi-Fi網路環境一樣，點擊周邊無線網路列表中的網路名稱來完成接入。當首次進行串連時，系統會提醒大家完成身分識別驗證設定。

　　如果尚未選擇正確的EAP方法，請選擇一種所接入網路能夠支援的方法。如果大家已經擁有與所接入Wi-Fi相對應的使用者名稱及密碼，一般可以選擇EAP方法。如果必須為其安裝數位憑證，那麼TLS方法可能最為合適。

　　對於大部分EAP方法，大家可以選擇指定的CA認證——正如前文所言，我們必須首先完成其安裝步驟。對於TLS來說，大家則必須為其指定使用者認證。

　　以下為使用EAP或者TLS方法時的正確設定選項：

　　▎認證階段二: 選擇(可選)該網路所支援的外部認證方法，例如MS-CHAPv2或者GTC。MS-CHAPv2最為常見，但如果大家無法確定其是否受到支援，則可以選擇None。

　　▎身份: 相當於“使用者名稱”概念的技術性描述，其中可能包含一項網域名稱——例如jsmith@company.com——具體取決於網路的實際情況。

　　▎匿名身份: 在大多數情況下，大家可以將該欄位留空。不過在可能的情況下，我個人建議大家為其選擇一個隨機使用者名稱，例如“anonymous”。

　　在預設情況下，該使用者名稱會被發送至證明伺服器兩次。第一次發送的內容並未經過加密，其會調用外部或者匿名身份; 第二次發送的內容經由加密通道實現，負責調用內部身份。在大多數情況下，無需外部身份中的真正使用者名稱即可成功完成驗證。正是出於這個理由，大家應該盡量避免使用真實使用者名稱內容，這樣能夠有效防止任何窺探者將其據為己有。

　　不過也有一部分網路要求使用完整的使用者名稱，或者至少在外部身份中提供正確的域或者地區，例如“anonymous@domain.com”。

　　▎輸入密碼: 很明顯，我們需要在這裡輸入與登入賬戶相對應的密碼內容。

　　請記住，大家可以隨時根據需要對這些認證設定進行修改。具體執行方式也很簡單，只需要長按對應網路名稱並選擇“修改網路設定”。